BlockSec détecte un exploit de relecture avec des jetons ETHPoW

La blockchain de preuve de travail Ethereum a subi un exploit de relecture, l'attaquant obtenant 200 jetons ETHW supplémentaires après avoir rejoué un message de la chaîne de preuve de participation sur ETHPoW, selon une société de cybersécurité qui a alerté le problème dimanche. 

"L'exploiteur (0x82fae) a d'abord transféré 200 WETH via le pont omnidirectionnel de la chaîne Gnosis, puis a rejoué le même message sur la chaîne PoW et a obtenu 200 ETHW supplémentaires", a déclaré la société de sécurité BlockSec. a affirmé Valérie Plante. sur Twitter. L'attaque s'est produite parce que le pont n'a pas correctement vérifié l'ID de chaîne du message inter-chaînes, a affirmé la société. 

L'équipe de développement de la blockchain ETHPoW a déclaré qu'une attaque exploitait la vulnérabilité contractuelle du pont, et non leur blockchain elle-même. 

"ETHW lui-même a appliqué EIP-155, et il n'y a pas d'attaque par relecture d'ETHPoS et d'ETHPoS, ce que les ingénieurs en sécurité d'ETHW Core ont prévu à l'avance", ont déclaré les développeurs d'ETHW Core. écrit dans un post moyen.

L'équipe de développeurs a également déclaré qu'elle tentait d'entrer en contact avec Omni Bridge depuis samedi pour les informer des risques. Omni Bridge n'a pas immédiatement répondu à une demande de commentaire. 

"Nous avons contacté le pont de toutes les manières et les avons informés des risques", a-t-il déclaré. "Les ponts doivent vérifier correctement le ChainID réel des messages inter-chaînes", ont-ils déclaré.

Le fork ETHPoW sur la blockchain Ethereum de preuve de travail est allé vivre cette semaine après The Merge. Le jeton a chuté de plus de 35% suite à l'annonce de l'exploit dimanche matin, selon les données de TradingView.

© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.